โปรแกรมรางวัลการรายงานช่องโหว่ Cloudbet

บทนำ

Halcyon Super Holdings BV (ต่อจากนี้เรียกว่า “Cloudbet” หรือ “เรา”) เป็นเจ้าของและผู้ดูแลจัดการ www.cloudbet.com Cloudbet คือแพลตฟอร์มออนไลน์ด้านความบันเทิงผ่านคริปโตชั้นนำที่มุ่งมั่นที่จะรักษามาตรฐานความสมบูรณ์และความปลอดภัยสูงสุดสำหรับประสบการณ์การเล่นเกมของเรา เพื่อเป็นส่วนหนึ่งของความมุ่งมั่นของเราที่มีต่อความปลอดภัยและความเป็นส่วนตัว เราจึงเปิดตัวโครงการ Bug Bounty (ตามล่าหาข้อบกพร่อง) เพื่อส่งเสริมให้เหล่านักวิจัยและผู้ที่ให้ความสำคัญกับความปลอดภัยสามารถระบุและรายงานช่องโหว่ต่างๆ ในแพลตฟอร์มของเราได้

รางวัลและการกำหนดลำดับความสำคัญ

  • รางวัลตอบแทนสำหรับการตามล่าหาข้อบกพร่องจะจ่ายเป็นสกุล USDT โดยจะแบ่งประเภทรายงานตามลำดับความสำคัญ
  • จะจ่ายรางวัลตามดุลยพินิจของเราแต่เพียงผู้เดียว โดยไม่มีขีดจำกัดขั้นต่ำสุดหรือสูงสุดที่เข้มงวดกำหนด อย่างไรก็ตาม เราคาดว่าจะต้องจ่ายเงินมากกว่านี้อย่างมาก (US$10,000 หรือมากกว่า) สำหรับปัญหาร้ายแรงโดยเฉพาะ
  • หากต้องการมีสิทธิ์รับรางวัล คุณต้องเป็นคนแรกที่แจ้งให้เราทราบถึงปัญหาที่จำเป็นต้องเปลี่ยนแปลงโค้ดหรือการกำหนดค่าซึ่งไม่มีใครทราบมาก่อน

ระดับช่องโหว่

  • รางวัลสำหรับช่องโหว่ที่เข้าเงื่อนไขนั้นจะแตกต่างกันไป ทั้งนี้ขึ้นอยู่กับผลกระทบและความรุนแรงของข้อบกพร่องที่รายงานตามที่ทีมรักษาความปลอดภัยของเรากำหนดไว้
  • ระดับช่องโหว่จะเรียงตามลำดับความสำคัญและผลตอบแทนจากน้อยไปมาก ได้แก่ ระดับข้อมูลประกอบ ระดับต่ำ ระดับกลาง ระดับสูง และระดับร้ายแรง
  • ระดับต่ำคือปัญหาที่ส่งผลกระทบน้อย เช่น การกำหนดค่าทางเทคนิคที่ผิดพลาด ในขณะที่ระดับสูงนั้นจะรวมถึงปัญหาร้ายแรงต่างๆ ด้วย เช่น ข้อบกพร่องของสัญญาอัจฉริยะ การรั่วไหลของคีย์ส่วนตัวของกระเป๋าเงิน ฯลฯ ซึ่งอาจทำให้ธุรกิจหยุดชะงักหรือเกิดความสูญเสียทางการเงินได้อย่างมาก

ขอบเขต

ในขอบเขต

  • เว็บไซต์ Cloudbet.com และบริการที่เกี่ยวข้อง
  • API ของ Cloudbet, บล็อกเชน และช่องโหว่ในโครงสร้างพื้นฐาน
  • ช่องโหว่ในสัญญาอัจฉริยะที่เกี่ยวข้องกับ Cloudbet

นอกขอบเขต

ผลการค้นพบต่อไปนี้จะไม่รวมอยู่ในโครงการ Bug Bounty และเราขอให้คุณงดเว้นการพยายามรายงานหรือดำเนินการดังต่อไปนี้:

  • ความพยายามทางกายภาพใดๆ ในการเข้าถึงคุณสมบัติของ Cloudbet
  • การใช้กลยุทธ์ทางสังคม (เช่น ฟิชชิ่ง) เพื่อรับข้อมูลส่วนตัว
  • การปฏิเสธการให้บริการ (DoS/DDoS)
  • ช่องโหว่ในบริการของบุคคลที่สามซึ่งเชื่อมโยงกับ Cloudbet
  • การกำหนดค่าทางเทคนิคที่ผิดพลาดเล็กน้อยหรือปัญหาบนหน้าที่ไม่มีข้อมูลละเอียดอ่อน
  • การดำเนินการใดๆ ที่มีลักษณะคล้ายกับรายการข้างต้นซึ่งยังไม่ครบถ้วนสมบูรณ์

การส่งรายงาน

ในรายงานของคุณต้องประกอบไปด้วย:

  • ขั้นตอนโดยละเอียดในการจำลองช่องโหว่ขึ้นอีกครั้ง
  • หลักฐานที่ตรวจสอบได้ว่ามีช่องโหว่อยู่จริง เช่น ภาพถ่ายหน้าจอ วิดีโอ หรือสคริปต์ รวมถึง URL ที่ใช้เปิดเผยช่องโหว่ดังกล่าว โปรดส่งหลักฐานนี้เป็นไฟล์แนบทางอีเมล และอย่าส่งผ่านบริการบุคคลที่สามที่สาธารณะชนสามารถเข้าถึงได้
  • โปรดส่งรายงานของคุณไปที่ [email protected] เราจะดำเนินการกับรายงานที่มีความสำคัญระดับกลางขึ้นไปภายใน 7 วันทำการ สำหรับรายงานที่มีความสำคัญระดับต่ำหรือรายงานเพื่อจุดประสงค์ในการแจ้งข้อมูลเป็นหลัก เราจะตอบกลับภายใน 30 วัน ทุกรายงานล้วนมีคุณค่า แต่รายงานสแปมจะไม่ได้รับความสนใจ โปรดดูคำแนะนำในการรายงานของเราสำหรับการส่งรายงานที่ถูกต้อง เราพยายามที่จะอัปเดตให้คุณทราบเกี่ยวกับความคืบหน้าของทุกรายงาน แม้ว่าจะไม่มีทางแก้ไขได้ทันทีก็ตาม โปรดอย่าส่งอีเมลเพื่อขอรับทราบข้อมูลอัปเดตเกี่ยวกับรายงานข้อบกพร่องที่ได้รับการยืนยันแล้ว เนื่องจากไม่ได้ช่วยให้กระบวนการแก้ไขเร็วขึ้น

ข้อยกเว้นความรับผิด

เพื่อส่งเสริมการวิจัยด้านการรักษาความปลอดภัยและเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตกับการโจมตีที่เป็นอันตราย เราขอให้คุณปฏิบัติตามหลักเกณฑ์ต่อไปนี้:

  • ห้ามใช้ช่องโหว่ในการเข้าถึง แก้ไข ทำร้าย หรือเปลี่ยนแปลงข้อมูลที่ไม่ใช่ของคุณ
  • ห้ามใช้ประโยชน์จากช่องโหว่ใดๆ ยกเว้นเพื่อจุดประสงค์ในการสาธิตให้เราเห็นเท่านั้น
  • ห้ามทำการโจมตีแบบปฏิเสธการให้บริการ (DoS/DDoS) ระดับเครือข่ายต่อระบบของเรา
  • ห้ามมุ่งเป้าไปที่พนักงานและลูกค้าของเรา
  • ห้ามรายงานช่องโหว่โดยมีเงื่อนไข ความต้องการ หรือเรียกค่าไถ่

หากคุณปฏิบัติตามหลักเกณฑ์เหล่านี้ เราจะให้คำมั่นว่าเรา:

  • จะไม่ ดำเนินคดีทางกฎหมายกับคุณหรือรายงานคุณสำหรับการวิจัยด้านการรักษาความปลอดภัยโดยสุจริต รวมถึงการหลีกเลี่ยงมาตรการทางเทคโนโลยีที่เราใช้เพื่อปกป้องแอปพลิเคชันที่อยู่ในขอบเขต และ
  • จะ ให้การสนับสนุนคุณ หากบุคคลที่สามดำเนินคดีทางกฎหมายกับคุณเกี่ยวกับการวิจัยด้านการรักษาความปลอดภัยโดยสุจริตของคุณ

คุณควรติดต่อเราเพื่อขอคำชี้แจงก่อนที่จะตอบโต้พฤติกรรมที่คุณคิดว่าอาจขัดกับการวิจัยด้านการรักษาความปลอดภัยโดยสุจริตหรือไม่ได้ระบุไว้ในนโยบายของเรา

พึงระลึกไว้ว่าเราไม่สามารถอนุญาตให้มีการวิจัยด้านการรักษาความปลอดภัยบนโครงสร้างพื้นฐานของบุคคลที่สามได้ และบุคคลที่สามจะไม่ผูกพันตามคำชี้แจงข้อยกเว้นความรับผิดนี้

การปฏิบัติตามกฎ

  • คุณต้องดำเนินการด้วยความสุจริตและปฏิบัติตามกฎหมายและระเบียบข้อบังคับที่มีผลบังคับใช้ทั้งหมด รวมถึงกฎหมายและระเบียบข้อบังคับในเขตอำนาจศาลของคุณที่ดำเนินการวิจัยด้านการรักษาความปลอดภัยด้วย
  • คุณต้องปฏิบัติตามข้อกำหนดด้านการออกใบอนุญาต การประกัน ความเป็นส่วนตัว หรือกฎระเบียบอื่นๆ ที่เกี่ยวข้องทั้งหมด และคุณเป็นผู้รับผิดชอบแต่เพียงผู้เดียวสำหรับค่าตอบแทน การออกใบอนุญาต ค่าธรรมเนียมการกำกับดูแล การประกัน หรือค่าใช้จ่ายอื่นๆ ที่เกี่ยวข้อง และหน้าที่ทางกฎหมายที่คุณต้องปฏิบัติตามในฐานะนักวิจัยด้านการรักษาความปลอดภัยเพื่อรับผลตอบแทนอันเป็นส่วนหนึ่งของโครงการ Bug Bounty ของเรา

การเปลี่ยนแปลงในโครงการ Bug Bounty ของ Cloudbet

  • Cloudbet ขอสงวนสิทธิ์ในการเปลี่ยนแปลงรายละเอียดใดๆ ทั้งหมดของโครงการ Bug Bounty ที่คุณเห็นในเอกสารฉบับนี้ได้ตลอดเวลาโดยไม่ต้องแจ้งให้ทราบล่วงหน้า ซึ่งการแก้ไขและการเพิ่มข้อมูลดังกล่าวนั้นจะมีผลทันที
  • คุณมีหน้าที่รับผิดชอบในการตรวจทานเอกสารนี้เป็นระยะๆ เพื่อดูว่ามีการปรับเปลี่ยนในโครงการ Bug Bounty ที่อาจส่งผลต่อสิทธิ์หรือภาระผูกพันของคุณหรือไม่

เบ็ดเตล็ด

  • การมีส่วนร่วมของคุณในโครงการ Bug Bounty จะไม่ถือเป็นหรือตีความว่าเป็นหุ้นส่วน การร่วมทุน หรือความสัมพันธ์ตัวแทนระหว่างคุณกับ Cloudbet

  • ในขอบเขตสูงสุดเท่าที่กฎหมายจะอนุญาต ในทุกกรณี Cloudbet จะไม่รับผิดชอบต่อความเสียหายโดยตรง พิเศษ โดยบังเอิญ เป็นตัวอย่าง เป็นการลงโทษ หรือเป็นผลสืบเนื่อง (รวมถึงการสูญเสียการใช้งาน ข้อมูล ธุรกิจ หรือผลกำไร) ที่เกิดขึ้นจากหรือเกี่ยวข้องกับการเข้าร่วมในโครงการ Bug Bounty ของคุณ ไม่ว่าความรับผิดดังกล่าวจะเกิดจากการเรียกร้องใดๆ ตามสัญญา การรับประกัน การละเมิด (รวมทั้งการประมาทเลินเล่อ) ความรับผิดโดยเคร่งครัด หรืออื่นใด และไม่ว่า Cloudbet จะได้รับคำแนะนำเกี่ยวกับความเป็นไปได้ของการสูญเสียหรือความเสียหายดังกล่าวหรือไม่ก็ตาม